在網路上看到 Gmail 密碼外洩消息,我「震驚」了…由於與個人資安切身相關,當然要深入了解,便找了資料來讀,順便整理分享。

本週二,有人在俄羅斯 Bitcom 論壇貼了一份 493 萬筆 Gmail 帳號密碼清單,被俄羅斯媒體 CNews 報導後,隨即在網路「瘋傳」(咳… 可以不要玩這些哏了嗎?)。論壇管理者事後移除清單裡的密碼,只留下帳號,而貼出清單的原PO則再跑出來聲稱其中 60% 的密碼是有效的。

初步分析帳號名稱,主要來自英國、西班牙及俄羅斯,且看起來是長時間蒐集所得,部分帳號已改過密碼或停用。依 Google 的看法,並沒有證據顯示 Gmail 系統出現漏洞導致密碼被竊,而目前大家也較認同洩漏源自「密碼共用」。猜測為使用者在其他網站註冊會員時使用 Gmail 作為登入ID,同時又將密碼設定與 Gmail 相同,一旦該網站被駭或作業疏失造成帳號密碼外洩,就等同 Gmail 帳號密碼流入他人之手。

網路媒體 Mashable 則有更明確的資訊。依據資安專家 Matteo Flora 檢測:清單有 60 位他認識的人,經連繫,其中 30 位指出清單上的密碼從未用在 Gmail 或是年代久遠。另外,陸續有很多位名列清單的使用者證實,清單所指的密碼從未用於Gmail。由此推論,清單來自其他網站會員資料庫的可能性頗高。

有人寫了網站服務可以檢查自己的帳號是否在洩漏清單中,但提供者身分不明,要當心輸入的 Email 被拿來發垃圾信。(另外,如果將來出現網站要你輸入 Gmail 帳號密碼檢查有沒有外洩,千萬別 Key 呀!)如果有疑慮,建議馬上改密碼,這是絕無副作用的自保之道。

個人結論如下:

  1. 此次所謂 500 萬筆 Gmail 密碼,蒐集自其他網站註冊資料的可能情極高,應非 Gmail 服務出現資安漏洞,不需驚慌,若有疑慮,就把密碼換掉吧!Z > B。
  2. 不要共用密碼!不要共用密碼!不要共用密碼!很重要,所以說三次。
    每個網站的安全防護強度不一,全部共用同一組密碼,代表任一網站被破,所有網站身分的安全性都亮紅燈。擔心密碼太多記不住?請愛用KeyPass
  3. 請善用「兩步驟驗證」,GmailHotmail 都已支援。既然電子郵件已是網路身分的重要依據,裡面又擺滿個資,沒理由不讓它更安全一點。啟用兩步驟驗證後,要用陌生機器登入,就需要簡訊認證,如此歹徒就算拿到密碼,沒有你的手機也無法登入。
  4. 遇到有好心網站要你提供 Email、帳號及密碼說要幫你尋找朋友、檢查帳號安全,輸入前請張大眼睛,當心被騙。

【參考資料】


Comments

Be the first to post a comment

Post a comment